2029221

Microsoft schließt kritische Word-Lücken

10.12.2014 | 13:23 Uhr |

Beim letzten Update-Dienstag dieses Jahres hat Microsoft sieben Security Bulletins veröffentlicht. Drei Bulletins behandeln als kritisch eingestufte Sicherheitslücken in Windows, Internet Explorer und Office.

Beim Patch-Day am 9. Dezember hat Microsoft sieben Security Bulletins nebst Updates bereit gestellt, die insgesamt 24 Schwachstellen beseitigen. Als kritisch stuft Microsoft Lücken in Windows, im Internet Explorer sowie in Word ein. Drei Security Bulletins behandeln Schwachstellen in Microsoft Office. Das im November ausgelassene Bulletin liegt nun vor und widmet sich dem Exchange Server. Zwei der November-Bulletins hat Microsoft überarbeitet.

Der dickste Brocken ist wie so oft das kumulative Sicherheits-Update für den Internet Explorer (IE) 6 bis 11. Es schließt 14 teils als kritisch eingestufte Sicherheitslücken im Microsoft-Browser. Eine Schwachstelle, die durch die Zero Day Initiative (ZDI) der HP-Tochter Tipping Point bereits vor einem halben Jahr an Microsoft gemeldet wurde, bleibt jedoch weiterhin unbehandelt. Für den IE 9 bis 11 enthält das neue Update auch einen Patch gegen die VBScript-Lücke, die im Bulletin MS14-084 behandelt wird. Das kumulative IE-Update aus dem November hat Microsoft überarbeitet. Die Verbesserungen sind jedoch auch im Dezember-Update enthalten.

Ebenfalls als kritisch stuft Microsoft eine Schwachstelle im VBScript-Modul der Windows-Versionen Vista und 7 sowie Server 2003, 2008 und 2008 R2 ein (MS14-084). Ein Angreifer könnte darüber Code einschleusen und mit den Rechten des angemeldeten Benutzers ausführen. Dazu müsste er potenzielle Opfer auf eine speziell präparierte Web-Seite locken.

Gleich mehrere Bulletins beschäftigen sich mit Lücken in Microsoft Office. Zwei Schwachstellen in Word gelten als kritisch. Sie betreffen alle noch unterstützten Office-Versionen einschließlich Office 2011 für Mac. Zwei Excel-Lücken gelten hingegen nur als hohes Risiko und betreffen alle Versionen von Office für Windows. Hinzu kommt eine weitere Office-Schwachstelle in der Komponente MSCOMCTL. Alle Lücken können es Angreifern ermöglichen Code einzuschleusen und auszuführen.

Das Bulletin MS14-075 hatte Microsoft eigentlich bereits für den Patch-Day im November angekündigt, es jedoch erst am 9. Dezember veröffentlicht. Es behandelt vier Schwachstellen im Exchange Server 2007, 2010 und 2013. Drei davon betreffen Outlook Web App. Zwei Lücken erlauben Spoofing, die beiden andere ein Ausweitung der Berechtigungen.

Eine Schwachstelle in allen Windows-Versionen betrifft die Verarbeitung von JPEG-Inhalten, etwa Fotos. Diese Lücke allein kann lediglich genutzt werden, um Informationen über das System zu erlangen. Sie kann jedoch im Verbund mit weiteren Sicherheitslücken eingesetzt werden, um etwa Schutzfunktionen wie ASLR (Address Space Layout Randomization) zu umgehen.

Das Sicherheits-Update zum Bulletin MS14-066 vom 11. November (SChannel) hat Microsoft ebenfalls nachgebessert. Damit sollen Probleme unter Windows Vista und Server 2008 beseitigt werden. Nutzer dieser Windows-Versionen sollten das Update erneut installieren.

Außerdem verteilt Microsoft wieder sein Windows-Tool zum Entfernen bösartiger Software in einer neuen Version.

Bulletin

Risikostufe

Ausnutz-barkeit

Effekt

betroffene Software

Neustart nötig?

MS14-075

hoch

2

EoP

Exchange Server 2007, 2010, 2013; Outlook Web App

u.U. *

MS14-080

kritisch

1

RCE

Windows (alle); Internet Explorer 6 bis 11

ja

MS14-081

kritisch

1

RCE

Office 2007, 2010, 2013, 2013 RT, 2011 für Mac; Word, Office Web Apps

u.U.

MS14-082

hoch

1

RCE

Office 2007, 2010, 2013, 2013 RT; MSCOMCTL

u.U.

MS14-083

hoch

1

RCE

Office 2007, 2010, 2013, 2013 RT; Excel

u.U.

MS14-084

kritisch

2

RCE

Windows Vista, 7, Server 2003, 2008, 2008 R2; VBScript

u.U.

MS14-085

hoch

2

ID

Windows (alle); Graphics-Komponente, JPEG-Bilder

u.U.

u.U. – unter Umständen
RCE – Remote Code Execution: eingeschleuster Code wird ausgeführt
EoP – Elevation of Privilege: Ausweitung von Berechtigungen
ID – Information Disclosure: Datenleck

0 Kommentare zu diesem Artikel
2029221